事件 - 參考指南
注意
針對處於預覽狀態的事件: Azure 預覽補充條款 包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款。
本文列出您可能會從 適用於雲端的 Microsoft Defender 取得的事件,以及您啟用的任何Microsoft Defender 方案。 您環境中顯示的事件取決於您要保護的資源和服務,以及您的自定義組態。
安全性 事件 是警示與共用實體的攻擊案例相互關聯。 例如,資源、IP 位址、用戶或共用 終止鏈 結模式。
您可以選取事件來檢視與事件相關的所有警示,並取得詳細資訊。
瞭解如何 管理安全性事件。
注意
相同的警示可以做為事件的一部分存在,以及顯示為獨立警示。
安全性事件
Alert | 描述 | 嚴重性 |
---|---|---|
安全性事件偵測到可疑的用戶活動 (預覽) | 此事件指出您環境中的可疑用戶作業。 此使用者已觸發來自不同 適用於雲端的 Defender 方案的多個警示,這會增加您環境中的惡意活動精確度。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來危害您環境中的資源。 這可能表示帳戶遭到入侵,且正與惡意意圖搭配使用。 | 高 |
安全性事件偵測到可疑的服務主體活動 (預覽) | 此事件表示您環境中的可疑服務主體作業。 此服務主體已觸發來自不同 適用於雲端的 Defender 方案的多個警示,這會增加您環境中的惡意活動精確度。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來危害您環境中的資源。 這可能表示服務主體遭到入侵,且正與惡意意圖搭配使用。 | 高 |
安全性事件偵測到可疑的加密採礦活動 (預覽) | 案例 1:此事件表示在可疑的用戶或服務主體活動之後偵測到可疑的加密採礦活動。 來自不同 適用於雲端的 Defender 方案的多個警示已在同一個資源上觸發,這會增加您環境中的惡意活動精確度。 可疑的帳戶活動可能表示威脅執行者未經授權存取您的環境,而成功的密碼編譯採礦活動可能會建議他們成功入侵您的資源,並使用它進行採礦加密,這可能會導致貴組織的成本增加。 案例 2:此事件表示已在相同虛擬機資源的暴力密碼破解攻擊后偵測到可疑的加密採礦活動。 來自不同 適用於雲端的 Defender 方案的多個警示已在同一個資源上觸發,這會增加您環境中的惡意活動精確度。 虛擬機的暴力密碼破解攻擊可能表示威脅執行者嘗試取得未經授權的環境存取權,而成功的密碼編譯採礦活動可能會建議他們成功入侵您的資源,並使用它進行採礦加密,這可能會導致貴組織的成本增加。 |
高 |
安全性事件偵測到可疑 金鑰保存庫 活動 (預覽) | 案例 1:此事件表示您的環境中偵測到與 金鑰保存庫 使用量相關的可疑活動。 此使用者或服務主體已觸發來自不同 適用於雲端的 Defender 方案的多個警示,這會增加您環境中的惡意活動精確度。 可疑 金鑰保存庫 活動可能表示威脅執行者嘗試取得敏感數據的存取權,例如密鑰、秘密和憑證,以及帳戶遭到入侵,且正與惡意意圖搭配使用。 案例 2:此事件表示您的環境中偵測到與使用 金鑰保存庫 相關的可疑活動。 來自不同 適用於雲端的 Defender 方案的多個警示已從相同的IP位址觸發,這會增加您環境中的惡意活動精確度。 可疑 金鑰保存庫 活動可能表示威脅執行者嘗試取得敏感數據的存取權,例如密鑰、秘密和憑證,以及帳戶遭到入侵,且正與惡意意圖搭配使用。 案例 3:此事件表示您的環境中偵測到與 金鑰保存庫 使用量相關的可疑活動。 來自不同 適用於雲端的 Defender 方案的多個警示已在同一個資源上觸發,這會增加您環境中的惡意活動精確度。 可疑的 金鑰保存庫 活動可能表示威脅執行者嘗試取得敏感數據的存取權,例如密鑰、秘密和憑證,以及帳戶遭到入侵,且正與惡意意圖搭配使用。 |
高 |
安全性事件偵測到可疑的 SAS 活動 (預覽) | 此事件表示在可能誤用 SAS 令牌之後,偵測到可疑的活動。 來自不同 適用於雲端的 Defender 方案的多個警示已在同一個資源上觸發,這會增加您環境中的惡意活動精確度。 SAS 令牌的使用可能表示威脅執行者已取得您記憶體帳戶的未經授權存取權,並嘗試存取或外洩敏感數據。 | 高 |
安全性事件偵測到異常地理位置活動 (預覽) | 案例 1:此事件表示您的環境中偵測到異常的地理位置活動。 來自不同 適用於雲端的 Defender 方案的多個警示已在同一個資源上觸發,這會增加您環境中的惡意活動精確度。 源自異常位置的可疑活動可能表示威脅執行者取得未經授權存取您的環境,並嘗試入侵它。 案例 2:此事件表示在您的環境中偵測到異常的地理位置活動。 來自不同 適用於雲端的 Defender 計劃的多個警示已從相同的IP位址觸發,這會增加您環境中的惡意活動精確度。 源自異常位置的可疑活動可能表示威脅執行者取得未經授權存取您的環境,並嘗試入侵它。 |
高 |
安全性事件偵測到可疑的IP活動 (預覽) | 案例 1:此事件表示偵測到可疑的活動源自可疑的IP位址。 來自不同 適用於雲端的 Defender 方案的多個警示已從相同的IP位址觸發,這會增加您環境中的惡意活動精確度。 源自可疑IP位址的可疑活動可能表示攻擊者已取得未經授權存取您的環境,並嘗試入侵它。 案例 2:此事件表示偵測到可疑的活動源自可疑 IP 位址。 來自不同 適用於雲端的 Defender 方案的多個警示已在相同用戶或服務主體上觸發,這會增加您環境中的惡意活動精確度。 源自可疑IP位址的可疑活動可能表示攻擊者已取得未經授權存取您的環境,並嘗試入侵它。 |
高 |
安全性事件偵測到可疑的無檔案攻擊活動 (預覽) | 此事件表示在相同資源上可能遭到惡意探索后,已在虛擬機上偵測到無檔案攻擊工具組。 相同虛擬機上已觸發來自不同 適用於雲端的 Defender 方案的多個警示,這會增加您環境中的惡意活動精確度。 虛擬機上存在無檔案攻擊工具組可能表示威脅執行者已取得未經授權存取您的環境,並嘗試在執行進一步的惡意活動時逃避偵測。 | 高 |
安全性事件偵測到可疑的 DDOS 活動 (預覽) | 此事件表示在您的環境中偵測到可疑的分散式阻斷服務 (DDOS) 活動。 DDOS 攻擊的設計目的是讓網路或應用程式大量流量不堪重負,導致合法用戶無法使用。 來自不同適用於雲端的 Defender 方案的多個警示已在同一個 IP 位址上觸發,這會增加您環境中的惡意活動精確度。 | 高 |
安全性事件偵測到可疑的數據外洩活動 (預覽) | 案例 1:此事件表示在可疑的用戶或服務主體活動之後偵測到可疑的數據外泄活動。 來自不同 適用於雲端的 Defender 方案的多個警示已在同一個資源上觸發,這會增加您環境中的惡意活動精確度。 可疑的帳戶活動可能表示威脅執行者未經授權存取您的環境,而成功的數據外泄活動可能會建議他們嘗試竊取機密資訊。 案例 2:此事件表示在可疑的用戶或服務主體活動之後偵測到可疑的數據外泄活動。 來自不同 適用於雲端的 Defender 方案的多個警示已從相同的IP位址觸發,這會增加您環境中的惡意活動精確度。 可疑的帳戶活動可能表示威脅執行者未經授權存取您的環境,而成功的數據外泄活動可能會建議他們嘗試竊取機密資訊。 案例 3:此事件表示在虛擬機上異常密碼重設之後,偵測到可疑的數據外泄活動。 來自不同 適用於雲端的 Defender 計劃的多個警示已從相同的IP位址觸發,這會增加您環境中的惡意活動精確度。 可疑的帳戶活動可能表示威脅執行者未經授權存取您的環境,而成功的數據外泄活動可能會建議他們嘗試竊取機密資訊。 |
高 |
安全性事件偵測到可疑的 API 活動 (預覽) | 此事件表示偵測到可疑的 API 活動。 相同資源上已觸發來自 適用於雲端的 Defender 的多個警示,這會增加您環境中的惡意活動精確度。 可疑的 API 使用方式可能表示威脅執行者嘗試存取敏感性資訊或執行未經授權的動作。 | 高 |
安全性事件偵測到可疑的 Kubernetes 叢集活動 (預覽) | 此事件表示在可疑的用戶活動之後,已在 Kubernetes 叢集上偵測到可疑的活動。 相同叢集上已觸發來自不同 適用於雲端的 Defender 方案的多個警示,這會增加您環境中的惡意活動精確度。 Kubernetes 叢集上的可疑活動可能表示威脅執行者已取得未經授權的環境存取權,並嘗試入侵它。 | 高 |
安全性事件偵測到可疑的記憶體活動 (預覽) | 案例 1:此事件表示在可疑的用戶或服務主體活動之後偵測到可疑的記憶體活動。 來自不同 適用於雲端的 Defender 方案的多個警示已在同一個資源上觸發,這會增加您環境中的惡意活動精確度。 可疑的帳戶活動可能表示威脅執行者未經授權存取您的環境,而成功的可疑記憶體活動可能會建議他們嘗試存取潛在的敏感數據。 案例 2:此事件表示在可疑的用戶或服務主體活動之後偵測到可疑的記憶體活動。 來自不同 適用於雲端的 Defender 方案的多個警示已從相同的IP位址觸發,這會增加您環境中的惡意活動精確度。 可疑的帳戶活動可能表示威脅執行者未經授權存取您的環境,而成功的可疑記憶體活動可能會建議他們嘗試存取潛在的敏感數據。 |
高 |
安全性事件偵測到可疑的 Azure 工具組活動 (預覽) | 此事件表示在 Azure 工具組的潛在使用方式之後,偵測到可疑的活動。 來自不同 適用於雲端的 Defender 方案的多個警示已在同一個使用者或服務主體上觸發,這會增加您環境中的惡意活動精確度。 Azure 工具組的使用可能表示攻擊者已未經授權存取您的環境,並嘗試入侵它。 | 高 |
安全性事件偵測到可疑的 DNS 活動 (預覽) | 案例 1:此事件表示偵測到可疑的 DNS 活動。 來自不同 適用於雲端的 Defender 方案的多個警示已在同一個資源上觸發,這會增加您環境中的惡意活動精確度。 可疑的 DNS 活動可能表示威脅執行者未經授權存取您的環境,並嘗試入侵它。 案例 2:此事件表示偵測到可疑的 DNS 活動。 來自不同 適用於雲端的 Defender 方案的多個警示已從相同的IP位址觸發,這會增加您環境中的惡意活動精確度。 可疑的 DNS 活動可能表示威脅執行者未經授權存取您的環境,並嘗試入侵它。 |
中 |
安全性事件偵測到可疑的 SQL 活動 (預覽) | 案例 1:此事件表示偵測到可疑的 SQL 活動。 來自不同 適用於雲端的 Defender 計劃的多個警示已從相同的IP位址觸發,這會增加您環境中的惡意活動精確度。 可疑的 SQL 活動可能表示威脅執行者是以您的 SQL 伺服器為目標,並嘗試入侵它。 案例 2:此事件表示偵測到可疑的 SQL 活動。 來自不同 適用於雲端的 Defender 方案的多個警示已在同一資源上觸發,這會增加您環境中的惡意活動精確度。 可疑的 SQL 活動可能表示威脅執行者是以您的 SQL 伺服器為目標,並嘗試入侵它。 |
高 |
安全性事件偵測到可疑的應用程式服務活動 (預覽) | 案例 1:此事件表示您的應用程式服務環境中偵測到可疑的活動。 來自不同 適用於雲端的 Defender 方案的多個警示已在同一資源上觸發,這會增加您環境中的惡意活動精確度。 可疑的應用程式服務活動可能表示威脅執行者是以您的應用程式為目標,而且可能會嘗試入侵它。 案例 2:此事件表示您的應用程式服務環境中偵測到可疑的活動。 來自不同 適用於雲端的 Defender 方案的多個警示已從相同的IP位址觸發,這會增加您環境中的惡意活動精確度。 可疑的應用程式服務活動可能表示威脅執行者是以您的應用程式為目標,而且可能會嘗試入侵它。 |
高 |
安全性事件偵測到遭入侵的計算機與殭屍網路通訊 | 此事件表示虛擬機上的可疑歹屍網路活動。 在 MITRE ATT&CK 架構之後,已依時間順序在相同資源上觸發來自不同適用於雲端的 Defender 方案的多個警示。 這可能表示威脅執行者已取得未經授權存取您的環境,並嘗試入侵。 | 中/高 |
安全性事件偵測到使用 BotNet 通訊遭入侵的電腦 | 此事件表示虛擬機上的可疑 BotNet 活動。 在 MITRE ATT&CK 架構之後,已依時間順序在相同資源上觸發來自不同適用於雲端的 Defender 方案的多個警示。 這可能表示威脅執行者已取得未經授權存取您的環境,並嘗試入侵。 | 中/高 |
安全性事件偵測到有惡意傳出活動遭入侵的計算機 | 此事件表示虛擬機上的可疑連出活動。 在 MITRE ATT&CK 架構之後,已依時間順序在相同資源上觸發來自不同適用於雲端的 Defender 方案的多個警示。 這可能表示威脅執行者已取得未經授權存取您的環境,並嘗試入侵。 | 中/高 |
安全性事件偵測到遭入侵的計算機 | 此事件指出一或多個虛擬機器上的可疑活動。 在 MITRE ATT&CK 架構之後,不同 適用於雲端的 Defender 方案的多個警示已依時間順序在相同資源上觸發。 這可能表示威脅執行者已取得未經授權存取您的環境,並成功入侵這些計算機。 | 中/高 |
安全性事件偵測到有惡意傳出活動的遭入侵機器 | 此事件表示來自虛擬機的可疑連出活動。 在 MITRE ATT&CK 架構之後,已依時間順序在相同資源上觸發來自不同 適用於雲端的 Defender 方案的多個警示。 這可能表示威脅執行者已取得未經授權存取您的環境,並嘗試入侵。 | 中/高 |
在多部計算機上偵測到的安全性事件 | 此事件指出一或多個虛擬機器上的可疑活動。 在 MITRE ATT&CK 架構之後,已依時間順序在相同資源上觸發來自不同適用於雲端的 Defender 方案的多個警示。 這可能表示威脅執行者已取得未經授權存取您的環境,並嘗試入侵。 | 中/高 |
偵測到共用進程的安全性事件 | 案例 1:此事件表示虛擬機上的可疑活動。 來自不同 適用於雲端的 Defender 方案的多個警示已觸發共用相同的程式。 這可能表示威脅執行者已取得未經授權存取您的環境,並嘗試入侵。 案例 2:此事件表示虛擬機上的可疑活動。 已觸發來自不同 適用於雲端的 Defender 方案的多個警示共用相同的程式。 這可能表示威脅執行者已取得未經授權存取您的環境,並嘗試入侵。 |
中/高 |